サイバー脅威が深刻化・頻発化する中、米国議会は、重要インフラを悪意のある行為から保護するためのさまざまな立法措置を検討してきました。ウクライナ戦争によってサイバー脅威への懸念がさらに高まったことで、上院は米国サイバーセキュリティ強化法（SACA）を可決しました。この法案には、2022年3月15日に大統領による署名のもと発効された法律「米国重要インフラ向けサイバーインシデント報告法（CIRCIA）2022」が含まれています。この法律はサイバー攻撃に関するものですが、特にランサムウェアがもたらすリスクに対処するために制定されたという見方もできます。本ブログでは、ランサムウェアの軽減が企業のSACA遵守に与える影響についてご説明します。サイバーセキュリティインシデントに関するSACAの報告要件この法律では、エネルギーの電力網・ダム・廃水処理施設などを含む16種類の重要なインフラを運営するいわゆる「対象事業体」に対し、サイバーインシデントの発生後72時間以内に米国サイバーセキュリティ・社会基盤安全保障庁（CISA）に報告することが義務付けられています。この規則が定められた根拠は明白で、インシデントの存在を認知しなければCISAが対応できないためです。また、直面している脅威について業界内の組織同士で理解する必要もあります。情報開示が迅速に行われることで効果的な対応につながります。SACAは内容に関する議論期間が設けられていますが、最終的な方針が固まるのはおそらく2年ほど先になるでしょう。現時点では、72時間前までに報告することが義務付けられており、今後もこのルールが維持される可能性が高いと思われます。しかし、72時間では長すぎます。脆弱性は公開から数時間でハッカーやボットネットによって悪用されるため、最終的な方針が設定される前に報告義務の時間が短縮されることを願います。SACAに基づく報告基準SACAでは主に2つの報告トリガーが指定されています。対象となる事業体は、規則制定プロセスの詳細に従って、以下の内容を報告する必要があります。「（i）当該情報システムまたはネットワークの機密性・完全性・可用性の損失につながる、または運用システムおよびプロセスの安全性と回復力に重大な影響を及ぼすサイバーインシデント」または、「(ii)サービス拒否攻撃、ランサムウェア攻撃、または情報システムや運用技術システムに対するゼロデイ脆弱性の悪用などによる、事業運営の中断」法律事務所BakerHostetlerのレポートによると、この法律では対象となる事業体に対し、「クラウドサービスプロバイダー、マネージドサービスプロバイダー、その他のサードパーティデータホスティングプロバイダーの侵害、またはサプライチェーンの侵害によって促進された、またはそれによって引き起こされたサービス損失による不正アクセスまたは事業運営の中断」を報告することも義務付けられています。特にランサムウェアを意識して作られた法律SACAは、システムの機密性・完全性・可用性の損失につながるあらゆる脅威を対象としています。実際のところ、深刻化・蔓延化ているサイバー脅威であるランサムウェアのほとんどすべてがこの法律の対象となっています。ランサムウェア攻撃は事業運営を混乱させる可能性もあります。これらの事実を認識したうえで、この法律の起草者はランサムウェアについて言及し、対象となる事業は身代金を支払ったか、もしくは支払う予定があるかを、インシデント対応の詳細とともに開示しなければならないと規定しています。さらに、ランサムウェアの問題は攻撃の潜在的な深さにも関係しています。マルウェアはデータを暗号化して身代金を要求しますが、ランサムウェア攻撃はそれよりもさらに破壊的かつ陰湿です。まず、多くの場合においてデータの流出が伴います。さらに、ほとんどの場合、ステルスマルウェアがインフラの奥深くに埋め込まれ、しばらく経ってから有効化されます。これにより、対象事業が重大なリスクにさらされる恐れがあるため、この新法で攻撃の報告を義務付けることは非常に理にかなっていると言えます。この現状を踏まえたうえで私が問題視しているのは、ランサムウェア攻撃の標的となる企業がこの法律をどのように解釈するかということです。SACAでは、インシデントによって企業の情報システム、ネットワーク、運用システム、プロセスに「重大な影響」が与えられた場合に報告義務を課しています。しかし、一体誰が、何をもって「重大な影響」であるかどうかを判断するのでしょう。たとえば、ある企業がイミュータブルバックアップを使用してハッカーからのアクセスを防ぎ、ランサムウェア攻撃による潜在的な損害を軽減した場合でも、CISAに攻撃を通知する必要があるのでしょうか。この法律は、損害やサービスの中断がない場合において不明瞭な点があります。しかし、SACAが重視しているのは透明性であることは明らかです。ランサムウェアやサイバー攻撃を受けた結果がどうなるかに関わらず、インシデントの報告はすべての人に役立ちます。ランサムウェア攻撃の影響を軽減する方法ここまで、ランサムウェア攻撃から正常に復旧するための手順について詳しくご説明してきました。堅牢な3-2-1バックアップ戦略によってバックアップコピーの少なくとも1部をイミュータブルストレージに保存することで、システムの消去やソフトウェアの再インストール、身代金の支払いなどを避け、操作の中断を最小限に抑えながら安全なデータをアップロードすることができます。もちろん、実際はそんなに単純ではないため、組織ごとに適したバックアップ戦略を考える必要があります。その戦略には、完全バックアップや増分バックアップを実行する頻度、定期的にバックアップをテストおよび検証するための計画なども含まれます。これまでの一般的な頻度は少なくとも年に1度といったところでしたが、サイバーセキュリティ攻撃を受けるリスクを考慮し、現在では多くの組織が四半期に1度または月に1度バックアップをテストしています。最後に、すべてのクラウドストレージサービスが同じように作成されているわけではないことにご注意ください。多くのクラウドストレージ層の場合、テラバイトあたりのコストが比較的低くても、バックアップデータが急速に増加する可能性があります。データの増加だけでなく、APIリクエスト料金（バックアップをテストする場合など）や下り転送料（サイバー攻撃が発生した場合にデータを復元する場合など）といった隠れたコストが発生し、ストレージ予算が思いがけず急激に跳ね上がる恐れがあります。そのため、データの保存先を選ぶ際は、下り転送料やAPIリクエスト料が請求されないかどうかを確認しましょう。ランサムウェア対策を真剣に考える新法の最終的かつ恒久的な規則が決まるまでには、まだしばらく時間がかかると思われます。しかし、この法律の方向性は非常に明確であり、重要なインフラに影響を及ぼすインシデントを迅速に報告することが政府から期待されています。この期待は、すべての企業に拡大する可能性があります。そのため、ランサムウェア対策に真剣に取り組むべき時期が来たことを示すシグナルとしてこの法律を捉えるべきです。...

デジタル化が加速する現代において、企業のデータ管理はビジネス戦略の根幹を支える要素です。日々増加するデータ量に対応するため、適切なストレージ技術の選択は不可欠ですが、「ファイルストレージ」と「オブジェクトストレージ」の違いを明確に理解できている方は少ないのではないでしょうか。本記事では、両者の違いやそれぞれのメリット・デメリット、最適な活用シーンを紹介します。データ管理の効率化、コスト最適化、そして将来的な拡張性を考慮したストレージ選びの参考になれば幸いです。ファイルストレージとはファイルストレージは、データを「ファイル」と「フォルダー」という階層構造で管理する従来型のストレージ技術です。コンピュータシステムでファイルを保存する最も一般的な方法として、多くの企業で用いられています。ファイルストレージの仕組みファイルストレージは、データをフォルダーとサブフォルダーに整理する階層的な構造を持っています。この構造はWindowsのエクスプローラーやmacOSのFinderなどで見られる、ツリー状のファイルシステムと同じです。各ファイルは「ファイル名」「作成日」「最終更新日」などのメタデータを持ち、フォルダー内の特定の場所に保存されます。ファイルストレージのメリット・デメリットファイルストレージの最大のメリットは「使いやすさ」にあります。階層構造によってファイルを整理することができるため、目的のファイルを見つけやすい点が最大の特徴です。従来から多くのシステムで利用されているため、既存のアプリケーションやシステムとの互換性が高い点もメリットと言えるでしょう。一方、ファイルストレージのデメリットは、スケーラビリティ面の課題です。データ量が大きくなるとファイルシステムのパフォーマンスが低下し、アクセス速度が遅くなる可能性があります。また、ファイル数やアクセス数が増加した場合にも、同様の問題が発生する可能性があります。ファイルストレージの活用シーンファイルストレージは、主に以下のような用途で活用されています。企業のファイルサーバー（社内ドキュメント管理）多くの企業では、従業員が共有できるファイルサーバーを活用し、業務資料やプロジェクトデータを一元管理しています。たとえば、経理部門が請求書を保存したり、マーケティング部門がデザインファイルを共有したりするケースです。NAS（Network Attached Storage）を利用したデータ共有NAS（ネットワーク接続ストレージ）を導入することで、オフィス内やリモート環境でのファイル共有が可能になります。特に中小企業では、低コストで手軽に導入できることから、NASを利用するケースが少なくありません。オブジェクトストレージとはオブジェクトストレージは、データを「オブジェクト」と呼ばれる単位で管理するストレージ技術です。近年注目を集めているデータ保存方法で、特に大量のデータを効率的に管理したい場合に優れています。オブジェクトストレージの仕組みオブジェクトストレージでは、データは「オブジェクト」と呼ばれる単位で保存されます。各オブジェクトは「データ本体」「メタデータ」「一意の識別子」から構成されます。メタデータには、ファイル名や作成日時といった基本的な情報に加え、ユーザーが自由に定義できるカスタム情報も含めることが可能です。オブジェクトは、階層構造を持たないフラットなアドレス空間に保存されます。これにより、ファイルストレージのように階層をたどる必要がなく、大量のデータの中から目的のオブジェクトを迅速に検索できます。オブジェクトストレージのメリット・デメリットオブジェクトストレージの大きなメリットの一つは、その優れたスケーラビリティです。必要な容量に応じてストレージを柔軟に拡張できるため、データ量の増加にも容易に対応できます。また、メタデータを利用することで、データの内容に基づいた柔軟な検索が可能になる点も魅力です。さらに、クラウドサービスでは従量課金制で利用できるため、コスト効率の面でも優れています。一方、オブジェクトストレージは、ファイルストレージに比べてデータへのアクセスに時間がかかる場合があります。これは、オブジェクトストレージがネットワーク経由でアクセスされることが多いためです。また、一部のファイルベースのアプリケーションはオブジェクトストレージに直接アクセスできないという、互換性の問題も存在します。オブジェクトストレージの活用シーンオブジェクトストレージは、主に以下のような用途で活用されています。クラウドバックアップ・アーカイブ（Amazon S3、Google Cloud Storage）オブジェクトストレージは、クラウドベースのバックアップやアーカイブ用途に適しています。企業が長期間保存する必要があるログデータや映像データなどを、コスト効率よく安全に保存できるのが特徴です。クラウドストレージは地理的に分散されたデータセンターにデータを保管するため、災害対策としても有効です。大規模データの管理（医療データ、IoTデータ、ビッグデータ分析）医療分野では、X線やMRI画像のような大容量データの管理にオブジェクトストレージが活用されています。また、IoTデバイスが生成する膨大なセンサーデータをリアルタイムで収集・管理するためにも適しており、ビッグデータ解析の分野で欠かせない存在です。ファイルストレージとオブジェクトストレージの比較ファイルストレージとオブジェクトストレージは、それぞれ異なる特性を持つため、用途に応じて使い分ける必要があります。ここでは、両者の違いをさまざまな観点から比較していきます。データ構造の違いファイルストレージは、データを階層構造で管理します。フォルダーの中にフォルダーを作成していく、ツリー構造のようなイメージです。一方、オブジェクトストレージはフラットな構造で、すべてのデータが同じレベルに存在します。スケーラビリティの違いファイルストレージは、ストレージ容量やファイル数が増加するとパフォーマンスが低下する傾向があります。一方、オブジェクトストレージは容易に容量を拡張することができ、大量のデータを効率的に管理できます。データ管理の違いファイルストレージは、ファイルパスを指定してデータにアクセスするのが特徴です。たとえば「C:\Users\Documents\report.docx」のように、階層構造をたどって目的のファイルにアクセスします。一方、オブジェクトストレージでは、メタデータに付与されたタグやIDなどを利用してデータを探します。コスト面の違いファイルストレージは一般的に初期費用が高く、ストレージ容量の拡張にも追加費用が発生します。一方、オブジェクトストレージ、特にクラウドサービスは、使用した分だけ支払う従量課金制が一般的です。運用コストの面でも、オブジェクトストレージは自動化された管理機能により、ファイルストレージよりも低く抑えられる可能性があります。ファイルストレージとオブジェクトストレージはどちらを選ぶべき？ファイルストレージとオブジェクトストレージのどちらを選択すべきかは、システムの規模、扱うデータの種類、そして将来的な拡張性などを考慮して決定する必要があります。ここでは、それぞれのストレージが適しているケースを具体的に見ていきましょう。ファイルストレージが適しているケースファイルストレージが適しているケースとしては、「小規模・中規模のシステム」や「小規模なファイル共有・Webサイトのコンテンツ管理」などが挙げられます。小規模・中規模のシステムファイルストレージは、シンプルなデータ管理が求められる環境に適しています。フォルダーを活用した直感的な操作ができるため、特に小規模～中規模の企業やチームでの利用に向いていると言えるでしょう。社内のファイル共有システム（例：社内のドキュメント管理、部署ごとの資料共有）ローカルサーバーやNASを利用したデータ管理（例：社内サーバーでのデータ保存、オフィス内のNASによるファイル共有）小規模なファイル共有・Webサイトのコンテンツ管理Webサイトのコンテンツ管理（CMSなど）では、画像やドキュメントを管理するためのストレージが必要になります。頻繁にアクセスされるファイルは、ファイルストレージを使うことで素早いレスポンスが可能です。ブログやニュースサイト（例：WordPressのメディアファイルの管理）ファイルベースのアプリケーション（例：ローカル環境で動作するデスクトップアプリ、設計ファイルの管理）オブジェクトストレージが適しているケースオブジェクトストレージが適しているケースとしては、「クラウドネイティブ環境」や「大規模なデータアーカイブ・バックアップ」などが挙げられます。クラウドネイティブ環境オブジェクトストレージは、クラウド環境でのデータ管理に最適です。特に、大量のデータを保存・分析するシステムでは、スケーラビリティの高さが重要な要素となります。クラウドアプリケーションのデータ保存（例：AWS S3を活用したSaaSアプリ、Google Cloud Storageを利用したモバイルアプリのバックエンド）コンテンツ配信（例：動画ストリーミング、ECサイトの商品画像管理）大規模なデータアーカイブ・バックアップ長期間保存するデータやバックアップ用途には、オブジェクトストレージが適しています。特に、何十年にもわたってデータを保存する必要がある場合はコストパフォーマンスに優れた選択肢です。企業のバックアップ＆アーカイブ（例：金融機関の取引データ、医療機関の患者データ）大容量のデータ管理（例：IoTデバイスが生成するセンサーデータ、AI/MLの学習データセット）ハイブリッド運用の可能性ファイルストレージとオブジェクトストレージは、必ずしもどちらか一方を選択する必要はありません。ハイブリッド運用によって、両方のメリットを活かすことも可能です。たとえば、社内データはファイルストレージで管理し、バックアップはオブジェクトストレージに保存するといった運用が考えられます。こうすることで、日常的に使用するデータには高速にアクセスでき、かつ、バックアップデータは安全に保管できるでしょう。まとめこの記事では、ファイルストレージとオブジェクトストレージの違いについて、その仕組み、メリット・デメリット、そして活用シーンを比較しながら解説してきました。どちらのストレージを選択するかは、システムの規模、扱うデータの種類、そして将来的な拡張性などを考慮して決める必要があります。それぞれのストレージの特徴を理解し、自社環境に最適なストレージを選択することが重要です。自社のデータ管理ニーズを見直し、最適なストレージ戦略を構築することで、より効率的で安全なデータ管理環境を実現しましょう。...

前日の雪がのこる寒空のもと、羽田発ダラス行きの飛行機に乗り込み、2月4日から6日にかけて開催された Wasabi Technologies Sales Kickoff 2025 （SKO 2025）に行ってきました。Wasabiの本社は米国ボストンですが、ボストンは函館と同じぐらいの緯度ですので、この時期は極寒。ということでもっと過ごしやすくかつ乗り入れ便の多いテキサス州のダラスが開催地として選ばれました。事前にダラスの気候を調査したところ平均最高気温17度、ただし昼夜の寒暖差が激しく平均最低気温は5度とのことだったので重ね着などで温度調整しやすい服装で向かいましたが、到着してみたらなんど24度！日本の初夏の気候ではないですか！慌ててTシャツを買いに走りました。実際にはカンファレンスセンターの中は冷房が効いていたので日本から持ってきた防寒具はそのまま役に立ち、ストールとコート巻きつけながら聴講していました。他の国の皆さんはなんであんなに寒さに強いのかしら・・・半袖の人もちらほらいました。 さて、気を取り直してキックオフです！開催地テキサスにちなんで今年のテーマは「Cowboy up」。ロデオで暴れ牛から振り落とされても、諦めずに立ち向かい続けるカウボーイから、「挑戦し続ける」という意味があるそうです。「Saddle up」も馬にちなんだ表現で。「さあ行くぞ！」という意味があります。創業者でありCEOのDavid...